Комментарии 32
А дайте кто-нибудь пример подобного сайта. Как человек, далекий от web, хочу просто понять, обставившись adblock и noscript, защищен я от этого или нет?
AdBlock не помогает, насчёт noscript не знаю. Искал сервис для проведения вебинаров (с включённым adblock), наткнулся на сайт, который перепродаёт Lync — посмотрел цены и понял, что не моё. На следующий день мне их представитель уже в VK писал. Я ему задал вопрос: «как Вы на меня вышли?», но он мне так и не ответил. Правда, через пару дней его страничка была заблокирована, то ли за спам, то ли ещё за что-то.
UPD:
ссылку нашёл: www.lync4you.ru
UPD:
ссылку нашёл: www.lync4you.ru
Расскажете о результате? lead365.ru
Надеюсь он скоро будет банить за автовключение веб пушей. Т.к. у некоторых в браузере пуши уже включены по умолчанию (т.е. для всех сайтов без спроса). Как итог простой заход на сайт — активирует пуши с этого сайта без какого либо запроса и спам летит пользователю, причём никто на самом деле на это не был согласен.
Ну или даже если было выбрано «спрашивать», то все равно многие кликают нечаянно «разрешить».
Ну или даже если было выбрано «спрашивать», то все равно многие кликают нечаянно «разрешить».
slon.ru этим грешен.
Да не только слон. На медузе тоже само включается. И на iguides.
Благо общение с представителями Лайфхакера вразумило их и они сделали промежуточную страницу.
Благо общение с представителями Лайфхакера вразумило их и они сделали промежуточную страницу.
У меня вылезло уведомление: включить или нет. На Медузе. А еще на Дожде и Слоне. А сами по себе пуши удобны, особенно для получения срочных новостей.
Вы то читаете, что это такое и т.д. А многие люди нажимают любую кнопку лишь бы это окошечко закрылось не читая, как итог потом не знают как от этого отписаться.
Да если они включаются при нажатии на кнопку на сайте — это нормально, но когда оно на всех сайтах само выскакивает с запросом — это уже спам.
Да если они включаются при нажатии на кнопку на сайте — это нормально, но когда оно на всех сайтах само выскакивает с запросом — это уже спам.
Отчетливо помню, что на медузе включал сам пуши.
НЛО прилетело и опубликовало эту надпись здесь
То что нужно
Вконтакте не шевелится, хоть Яндекс что-то сделает.
Запятые по, вкусу
А может кто-нибудь объяснить как работает определение профиля Вконтакте без согласия хозяина аккаунта? Интересуют технические подробности. Я слышал что-то такое пару месяцев назад, но подумал что не может быть такого.
Подсовывают на странице под курсор невидимый iframe с ВК-кнопкой. Пользователь кликает на странице, а срабатывает клик на кнопке, зачисляется лайк. А дальше, видимо, автоматически парсят список лайкнувших, вытаскивают из него id и дальше считывают профиль.
Используйте для защиты Ghostery. У меня по умолчанию он режет все социальные кнопки. На сайтах с кликджекингом за мышкой просто таскается пустой iframe.
Используйте для защиты Ghostery. У меня по умолчанию он режет все социальные кнопки. На сайтах с кликджекингом за мышкой просто таскается пустой iframe.
Ух ты, как я сам не додумался! Я похожий способ использую для стилизации кнопки выбора файла — таскаю над красивой кнопкой за мышкой невидимый input type='file' Теоретически, алгоритм Яндекса может отнести подобное к мошенничеству.
Зачем его таскать?
При клике по красивой кнопке делайте клик по невидимому инпуту.
При клике по красивой кнопке делайте клик по невидимому инпуту.
Вставьте внутрь вашей красивой кнопки инпут:
Кнопке добавьте position: relative;
А этому инпуту:
Тогда невидимый инпут будет растянут над всей кнопкой. Это стандартная техника стилизации. Яндекс за такую ругать не будет.
<div class="btn">
Выбрать файл с компьютера
<input type="file" name="file">
</div>
Кнопке добавьте position: relative;
А этому инпуту:
input[type="file"] {
position: absolute;
top: 0;
left: 0;
right: 0;
height: 100%;
cursor: pointer;
margin: 0;
filter: progid:DXImageTransform.Microsoft.Alpha(Opacity=0);
opacity: 0;
}
Тогда невидимый инпут будет растянут над всей кнопкой. Это стандартная техника стилизации. Яндекс за такую ругать не будет.
Отправлял еще в начале декабря репорт об этой уязвимости на hackerone (прекрасно понимая, что он явно не единственный). После прочтения статьи зашел на hackerone и как раз менее 1 минуты назад мне отписали вот это:
Так что вполне возможно, что вк после этой новости хоть чуть-чуть, но зашевелился.
Unfortunately, we have humongous number of incoming reports and we can not process properly them as soon, as we receive or triage them. We ask you to be patient, we would process every report as soon as possible.
К сожалению, у нас огромное количество новых репортов, мы не успеваем их обрабатывать в кратчайшее время после получения, равно как и закрывать их после обработки. Большая просьба проявить терпение. Мы обязательно все обработаем и выплатим.
Так что вполне возможно, что вк после этой новости хоть чуть-чуть, но зашевелился.
Будем надеется, что все началось из-за megamozg.ru/company/pozvonim/blog/21532
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Дождались, Яндекс банит за соц.фишинг